Discussion:
Zertifikat ?
(zu alt für eine Antwort)
Hoesel, Mario
2010-01-11 15:27:02 UTC
Permalink
Hallo NG,

bezüglich Zertifikaten habe ich eine Frage:

Testumgebung:

server.firma.de = Domaincontroller 2008 R2
exchange.firma.de = Exchange 2010
isa (Arbeitsgruppe Firma) = ISA 2006

extern gibt es einen DNS Namen mail.firma.de , per https://mail.firma.de/owa
soll nun OWA / Exchange erreichbar sein

Frage:
wo und welche Zertifikat muss ich nun beantragen / erstellen ?
(ich möchte ein "echtes" Zertifikat einbinden!)

Zertifikat Request / Beantragung bei dem Exchange Server IIS oder ISA
Server IIS?

meines Wissens muß es ein Zertifikat im Exchange geben, z.B.
exchange.firma.de und der ISA muß per Weblistener mail.firma.de annehmen und
an exchnage.firma.de weiterleitet?? aber woher kommt dann das Zert.
mail.firma.de oder benötige ich 2 Zertifiakte? (1x im Exchange
exchange.firma.de und 1x im ISA mail.firma.de)


Danke

mfg

Mario
Maximilian von Zweydorff
2010-01-11 15:50:39 UTC
Permalink
Servus Mario,
Post by Hoesel, Mario
server.firma.de = Domaincontroller 2008 R2
exchange.firma.de = Exchange 2010
isa (Arbeitsgruppe Firma) = ISA 2006
OK.
Post by Hoesel, Mario
extern gibt es einen DNS Namen mail.firma.de , per https://mail.firma.de/owa
soll nun OWA / Exchange erreichbar sein
wo und welche Zertifikat muss ich nun beantragen / erstellen ?
(ich möchte ein "echtes" Zertifikat einbinden!)
Du musst es für den "externen" Namen mail.firma.de Ausstellen.
Empfehlenswert ist der Limitbreaker von psw.net.
Post by Hoesel, Mario
Zertifikat Request / Beantragung bei dem Exchange Server IIS oder ISA
Server IIS?
Wo und mit was Du den Request erstellst ist eigentlich egal. Nimm ein
IIS ab Version 7, da ists übersichtlicher gestaltet als beim 6er.
Post by Hoesel, Mario
meines Wissens muß es ein Zertifikat im Exchange geben, z.B.
exchange.firma.de und der ISA muß per Weblistener mail.firma.de annehmen und
an exchnage.firma.de weiterleitet?? aber woher kommt dann das Zert.
mail.firma.de oder benötige ich 2 Zertifiakte? (1x im Exchange
exchange.firma.de und 1x im ISA mail.firma.de)
Wie schon oben erwähnt, Du benötigst am besten ein "offizielles" für
mail.firma.de und für exchange.firma.de reicht auch ein selfsigned
Zertifikat, welches Du z.Bsp. auch mit dem IIS ab Version 7 machen kannst.

Hast Du sowohl intern als auch extern den gleichen Namenraum? Dies ist
nicht zu empfehlen. Am besten extern: firma.de und intern: firma.local

Gruß
Max
Jens Baier
2010-01-11 16:16:29 UTC
Permalink
Hi,
Post by Hoesel, Mario
wo und welche Zertifikat muss ich nun beantragen / erstellen ?
(ich möchte ein "echtes" Zertifikat einbinden!)
Godaddy!
Post by Hoesel, Mario
Zertifikat Request / Beantragung bei dem Exchange Server IIS oder ISA
Server IIS?
Der ist gut:
https://www.digicert.com/easy-csr/exchange2007.htm
http://www.it-training-grote.de/download/ex-certificate.pdf
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
unknown
2010-01-11 16:15:35 UTC
Permalink
Post by Hoesel, Mario
Hallo NG,
kuckuck mario,
Post by Hoesel, Mario
wo und welche Zertifikat muss ich nun beantragen / erstellen ?
(ich möchte ein "echtes" Zertifikat einbinden!)
auf isa das zertifikat für mail.firma.de
auf exchange exchange.firma.de, so du eine ssl-bridge bauen möchtest (https
zu https). verwendest du intern nur http, dann brauchst du dort keins.
Post by Hoesel, Mario
Zertifikat Request / Beantragung bei dem Exchange Server IIS oder ISA
Server IIS?
ich nehme hierzu immer gern den iis oder die weboberfläche einer ca.
Post by Hoesel, Mario
meines Wissens muß es ein Zertifikat im Exchange geben, z.B.
exchange.firma.de und der ISA muß per Weblistener mail.firma.de annehmen
und an exchnage.firma.de weiterleitet?? aber woher kommt dann das Zert.
mail.firma.de oder benötige ich 2 Zertifiakte? (1x im Exchange
exchange.firma.de und 1x im ISA mail.firma.de)
die zertifikate könnten selfsigned sein, oder von einer eigenen ca herkommen
oder bei einer externen beantragt werden.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Volker Strähle
2010-01-11 16:35:04 UTC
Permalink
Post by Hoesel, Mario
...
extern gibt es einen DNS Namen mail.firma.de , per
https://mail.firma.de/owa ...
Macht das Sinn bei dem Servernamen extra noch auf /owa zu gehen? für die
User wär es doch leichter wenn Sie nur http://mail.firma.de eingeben
müßten. Oder?

Volker
unknown
2010-01-11 16:39:11 UTC
Permalink
huhu,
Post by Volker Strähle
Macht das Sinn bei dem Servernamen extra noch auf /owa zu gehen? für die
User wär es doch leichter wenn Sie nur http://mail.firma.de eingeben
müßten. Oder?
kamma machen, aber dann mit umleitung von / auf /owa.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Jens Baier
2010-01-11 17:01:22 UTC
Permalink
Hi,
Post by Volker Strähle
Macht das Sinn bei dem Servernamen extra noch auf /owa zu gehen? für die
User wär es doch leichter wenn Sie nur http://mail.firma.de eingeben
müßten. Oder?
http://www.it-training-grote.de/download/owa-redirect.pdf
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Markus Pöschl
2010-01-12 13:46:15 UTC
Permalink
Da schließe ich mich mit meiner Frage gleich mal an :

Ich habe mir bei GoDaddy ein öffentliches Zertifikat (Server.domäne.TLD)
geholt.
Dieses ist auf dem Webserver (IIS7 hier im Netz) eingelesen und aktiv.
Was muss ich nun auf dem ISA tun um von Aussen per HTTPS auf diese Webseite
zugreifen zu können ?
Die Veröffentlichung mit Http ist kein Problem und funktioniert auch, die
https-Veröffentlichung lässt er mich nicht machen, da ich ja auf dem ISA
kein Zertifikat habe. Wie bekomme ich das zum laufen ?

Vielen Dank !

Grüße,

markus
Post by Hoesel, Mario
Hallo NG,
server.firma.de = Domaincontroller 2008 R2
exchange.firma.de = Exchange 2010
isa (Arbeitsgruppe Firma) = ISA 2006
extern gibt es einen DNS Namen mail.firma.de , per
https://mail.firma.de/owa soll nun OWA / Exchange erreichbar sein
wo und welche Zertifikat muss ich nun beantragen / erstellen ?
(ich möchte ein "echtes" Zertifikat einbinden!)
Zertifikat Request / Beantragung bei dem Exchange Server IIS oder ISA
Server IIS?
meines Wissens muß es ein Zertifikat im Exchange geben, z.B.
exchange.firma.de und der ISA muß per Weblistener mail.firma.de annehmen
und an exchnage.firma.de weiterleitet?? aber woher kommt dann das Zert.
mail.firma.de oder benötige ich 2 Zertifiakte? (1x im Exchange
exchange.firma.de und 1x im ISA mail.firma.de)
Danke
mfg
Mario
unknown
2010-01-12 13:54:27 UTC
Permalink
huhu markus,
Post by Markus Pöschl
Die Veröffentlichung mit Http ist kein Problem und funktioniert auch, die
https-Veröffentlichung lässt er mich nicht machen, da ich ja auf dem ISA
kein Zertifikat habe. Wie bekomme ich das zum laufen ?
du musst das zertifikat (mit privatem schlüsel) vom iis exportieren (so es
ein öffentliches ist) und aufm isa importieren.
dann kannst du eine ssl-bridge bauen.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Markus Pöschl
2010-01-12 14:02:10 UTC
Permalink
Hallo Jens,
nachdem das Thema Zertifikate für mich absolutes Neuland ist, kannst du mir
sagen wie ich das auf dem ISA reinbekomme ?
muss ich dazu auf dem ISA die "Zertifizierungsstelle für Zertifikatsdienste"
installieren, oder gehts auch ein "bissl einfacher" ?

So etwas hat hier noch keiner gemacht, deshalb die leichte "Panik" etwas
falsch zu machen ....

Grüsse und Danke !

markus


"Jens Mander" <~remove_this*jemand[at]aixperts[dot]de> schrieb im
Post by unknown
huhu markus,
Post by Markus Pöschl
Die Veröffentlichung mit Http ist kein Problem und funktioniert auch, die
https-Veröffentlichung lässt er mich nicht machen, da ich ja auf dem ISA
kein Zertifikat habe. Wie bekomme ich das zum laufen ?
du musst das zertifikat (mit privatem schlüsel) vom iis exportieren (so es
ein öffentliches ist) und aufm isa importieren.
dann kannst du eine ssl-bridge bauen.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
unknown
2010-01-12 14:33:38 UTC
Permalink
huhu markus,
Post by Markus Pöschl
nachdem das Thema Zertifikate für mich absolutes Neuland ist, kannst du
mir sagen wie ich das auf dem ISA reinbekomme ?
nü kloar
Post by Markus Pöschl
muss ich dazu auf dem ISA die "Zertifizierungsstelle für
Zertifikatsdienste" installieren, oder gehts auch ein "bissl einfacher" ?
brauchst nix intsallieren, geht einfacher!
Post by Markus Pöschl
So etwas hat hier noch keiner gemacht, deshalb die leichte "Panik" etwas
falsch zu machen ....
erstmal keiiiiiiiiiiiiiiiiiine panik!
:-)
auf dem isa machst du eine leere mmc auf und fügst das snapin für die
zertifikate (wichtig: für den lokalen computer). dort importierst du das
gute teil unter eigene zertifikate. fettich is.
das setzt natürlich voraus, das du das gute teil vorher (!) auf dem iis
exportiert hast. dies funtz auf gleichem wege wie grad geschildert. wichtig,
der private schlüssel muss mit von der partei sein. äh partie.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Jens Baier
2010-01-12 14:39:40 UTC
Permalink
Hi,
Post by Markus Pöschl
nachdem das Thema Zertifikate für mich absolutes Neuland ist, kannst du
mir sagen wie ich das auf dem ISA reinbekomme ?
muss ich dazu auf dem ISA die "Zertifizierungsstelle für
Zertifikatsdienste" installieren, oder gehts auch ein "bissl einfacher" ?
das Zertifikat am IIS exportieren (MMC - Zertifikate - Lokaler Computer -
exportieren als PFX)
Am ISA das gleiche machen nur importieren auswaehlen
Was zu lesen:
http://www.it-training-grote.de/download/ex-certificate.pdf
http://www.msisafaq.de/Anleitungen/2004/Konfiguration/Zertifikate.htm
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Loading...